XDealer olarak da bilinen DinodasRAT, birden fazla işletim sistemini hedef alan gelişmiş bir C++ arka kapısıdır. Saldırganların güvenliği ihlal edilmiş sistemlerden hassas bilgileri gizlice izlemesine ve çıkarmasına olanak sağlamak için tasarlanmıştır.
Özellikle, bu RAT'ın bir Windows sürümü, ESET araştırmacıları tarafından kapsamlı bir şekilde analiz edilen ve Jacana Operasyonu olarak adlandırılan bir operasyon olan Guyana'daki devlet kurumlarına yönelik saldırılarda kullanıldı.
ESET'in Ekim 2023 başındaki ifşasının ardından, DinodasRAT'ın önceden bilinmeyen bir Linux sürümü ortaya çıkarıldı.
Göstergeler, faillerin V10 olarak etiketlediği bu sürümün 2022'den bu yana aktif olabileceğini gösteriyor.
Ancak tespit edilen ilk Linux varyantı olan V7'nin tarihi 2021 yılına dayanıyor ve henüz kamuya açıklanmadı. Bu rapor, saldırganlar tarafından kullanılan bir Linux implantının teknik yönlerini ele alıyor.
SOC ve DFIR Ekiplerinden misiniz? – Linux Kötü Amaçlı Yazılım Olaylarını analiz edin ve ANY.RUN ile canlı Erişim elde edin -> Şimdi Ücretsiz Başlayın.
Enfeksiyon ve Kalıcılık Mekanizmaları
DinodasRAT Linux implantı ağırlıklı olarak Red Hat tabanlı ve Ubuntu dağıtımlarını etkiliyor. Yürütme üzerine, birden fazla örneğin çalışmasını önlemek için gizli bir muteks dosyası oluşturur.
Arka kapı, doğrudan yürütme, SystemV veya SystemD başlatma komut dosyaları yoluyla ve kendisini bir argüman olarak ana işlem kimliğiyle çalıştırarak kalıcılığa ulaşır, bu da algılama çabalarını karmaşık hale getirir.
Mağdur Tespiti ve Kalıcılığı
RAT, kurbanın makinesi için kullanıcıya özel veriler içermeyen benzersiz bir tanımlayıcı (UID) oluşturmak amacıyla sistem bilgilerini ve enfeksiyon zamanlamasını toplar.
Bu UID, bulaşma tarihini, sistemin donanım raporunun MD5 karmasını, rastgele bir sayıyı ve arka kapı sürümünü içerir.
Bir Sonraki İhlalden Kaçınmak İçin Ücretsiz CISO Kılavuzunu İndirin
SOC Ekibi, Ağ Güvenliği veya Güvenlik Yöneticisi veya CSO'dan mısınız? Bulut tabanlı, bütünleşik ağ güvenliğinin güvenliği nasıl iyileştirdiğini ve TCO'yu nasıl azalttığını öğrenmek için Perimeter Kılavuzunu indirin.
- Sıfır güven stratejisinin önemini anlayın
- Ağ güvenliği Kontrol Listesini tamamlayın
- Eski bir VPN'e güvenmenin neden artık geçerli bir güvenlik stratejisi olmadığını görün
- Bulut tabanlı bir ağ güvenliği çözümüne geçişin nasıl sunulacağına ilişkin öneriler alın
- Birleşik ağ güvenliğinin eski yaklaşımlara göre avantajlarını keşfedin
- Ağ güvenliğini en üst düzeye çıkaran araçları ve teknolojileri keşfedin
Perimeter 81'in bulut tabanlı, birleşik ağ güvenliği platformuyla değişen tehdit ortamına zahmetsizce uyum sağlayın.
Perimeter 81 Ücretsiz PDF Kılavuzunu İndirin
UID ve diğer ilgili ayrıntılar, RAT'ın arka kapı profilini korumak için kullandığı “/etc/.netc.conf” adlı gizli bir dosyada saklanır.
Gizlilik ve Hizmet Yöneticisi Kullanımı
DinodasRAT, dosya erişim sürelerinin güncellenmesini önlemek için teknikler kullanır ve virüslü sistemlerde kalıcılığını sağlamak için Systemd ve SystemV hizmet yöneticilerinden yararlanır.
Linux dağıtım türünü belirler ve ağ kurulumundan sonra arka kapıyı başlatmak için uygun başlatma komut dosyalarını yükler.
Komuta ve Kontrol (C2) Haberleşmesi
Linux çeşidi, etki alanı ikili dosyaya sabit kodlanmış olarak, TCP veya UDP kullanarak C2 sunucusuyla iletişim kurar.
RAT, bilgileri C2'ye geri göndermek için değişken bir zaman aralığına sahiptir ve kullanıcı root ise iletişim anında gerçekleşir.
Yapılandırılmış bir ağ paketi formatını izler ve virüslü sistemi yönetmek için çeşitli komutları tanır.
Linux çeşidi, Pidgin'in libqq qq_crypt kitaplık işlevlerini ve CBC modunda Tiny Şifreleme Algoritmasını (TEA) kullanarak şifreleme yöntemlerini Windows karşılığı ile paylaşır.
Ayrıca şifreleme anahtarlarını C2 ve ad şifreleme için Windows sürümüyle paylaşır.
DinodasRAT'ın Linux sürümleri tarafından kullanılan altyapı, hem Windows hem de Linux C2 alanlarına hizmet veren tek bir IP adresiyle analiz sırasında aktifti.
En çok etkilenen bölgeler Çin, Tayvan, Türkiye ve Özbekistan'dır. Kaspersky ürünleri bu Linux varyantını HEUR:Backdoor.Linux.Dinodas.a olarak algılar.
DinodasRAT'ın Linux versiyonunun keşfi, tehdit aktörlerinin Linux altyapısına sızma yeteneğini ortaya koyuyor. Windows odaklı Jacana Operasyonu'ndan farklı olarak Linux sürümü, enfeksiyon yönetimi için kullanıcı bilgilerine öncelik vermiyor.
Bunun yerine, UID'ler oluşturmak için donanıma özgü verilere dayanır ve Linux sunucularına erişimi sürdürme hedefini vurgular.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.